PHP的93個WordPress外掛有後門

banq 發表於 2022-01-23
PHP

因為93 個 WordPress 主題和外掛包含後門,從而使得攻擊者可以完全控制網站。攻擊者總共入侵了 AccessPress 的 40 個主題和 53 個外掛,AccessPress 是 WordPress 外掛的開發者,用於超過 360,000 個活動網站。

該攻擊是由 Jetpack 的研究人員發現的,Jetpack 是 WordPress 網站安全和優化工具的建立者,他們發現 PHP 後門已被新增到主題和外掛中。

Jetpack 認為外部威脅攻擊者入侵了 AccessPress 網站以破壞軟體並感染更多的 WordPress 網站。

一旦管理員在他們的網站上安裝了一個受感染的 AccessPress 產品,就會在主主題目錄中新增一個新的“initial.php”檔案,並將其包含在主“functions.php”檔案中。該檔案包含一個 base64 編碼的有效負載,它將 webshel​​l 寫入“./wp-includes/vars.php”檔案。惡意程式碼通過解碼並將其注入“vars.php”檔案來完成後門安裝,實質上是讓攻擊者遠端控制受感染的站點。

檢測這種威脅的唯一方法是使用核心檔案完整性監控解決方案,因為惡意軟體會刪除“initial.php”檔案釋放器以掩蓋其蹤跡。

 

我受到影響嗎?

如果您在您的網站上安裝了其中一個受感染的外掛或主題,則刪除/替換/更新它們不會根除任何可能通過它植入的 webshel​​l。

因此,建議網站管理員通過執行以下操作來掃描他們的網站是否存在入侵跡象:

  • 檢查您的 wp-includes/vars.php 檔案的第 146-158 行。如果您在那裡看到帶有一些混淆程式碼的“wp_is_mobile_fix”函式,那麼您已經被入侵了。
  • 在您的檔案系統中查詢“wp_is_mobile_fix”或“wp-theme-connect”以檢視是否有任何受影響的檔案
  • 用新副本替換您的核心 WordPress 檔案。
  • 升級受影響的外掛並切換到不同的主題。
  • 更改 wp-admin 和資料庫密碼。

Jetpack 提供了以下 YARA 規則,可用於檢查站點是否已被感染並檢測 dropper 和已安裝的 webshel​​l:

rule accesspress_backdoor_infection
{
strings:
 
   // IoC's for the dropper
   $inject0 = "$fc = str_replace('function wp_is_mobile()',"
   $inject1 = "$b64($b) . 'function wp_is_mobile()',"
   $inject2 = "$fc);"
   $inject3 = "@file_put_contents($f, $fc);"
 
   // IoC's for the dumped payload
   $payload0 = "function wp_is_mobile_fix()"
   $payload1 = "$is_wp_mobile = ($_SERVER['HTTP_USER_AGENT'] == 'wp_is_mobile');"
   $payload2 = "$g = $_COOKIE;"
   $payload3 = "(count($g) == 8 && $is_wp_mobile) ?"
 
   $url0 = /https?:\/\/(www\.)?wp\-theme\-connect\.com(\/images\/wp\-theme\.jpg)?/
 
condition:
 
   all of ( $inject* )
   or all of ( $payload* )
   or $url0
}